Защита информации в финансовом секторе – это ключевая бизнес-задача, и компании предъявляют жесточайшие требования в решениях в данной области. Какие технологии сегодня востребованы в обеспечении безопасности информации, как развивается этот рынок и каковы его особенности в России, рассказывает заместитель директора по продажам в финансовом секторе компании Computel Павел Есаков.
Павел, расскажите, пожалуйста, как давно Computel занимается решениями безопасности для платежных систем?
Computel начал работу в этой области в 1996 году, когда начал сотрудничество с компанией Thales. Тогда мы одними из первых на российском рынке стали предлагать решения по защите платежных систем.
Нас привлекло то, что Thales работает на этом рынке уже более 50 лет и сотрудничает с правительственными организациями. Оборудование производства Thales соответствует не только требованиям платежной индустрии, но и требованиям более высокого уровня, которые предъявляют государственные учреждения и ведомства к защите информации. Сегодня Thales является безговорочным лидером в этой отрасли. Так, продажи платежных решений основного конкурента компании в России в прошлом году были равны нулю.
В каком формате сотрудничают компании?
Computel занимается реализацией оборудования производства Thales e-Security, подразделения Thales, занимающегося аппаратными решениями безопасности, и оказывает партнерам и клиентам техническую поддержку и консультационные услуги. Одно из главных направлений здесь – обучение работе с платежными модулями. Наше обучение носит не теоретический, а практический характер. Учиться на рабочей системе нельзя, поэтому люди работают с оборудованием, но совсем не представляют возможностей системы и часто не знают, как вести себя во внештатных ситуациях. Мы даем возможность на обучении побывать в условиях, приближенных к «боевым», понять, как действовать, если что-то пойдет не так.
Решения для защиты платежных систем – достаточно специфическая отрасль. С какими сложностями сталкиваются участники?
Главная особенность в том, что все платежные системы и системы для обработки транзакций по пластиковым картам требуют в обязательном порядке использования средств защиты, соответствующих специальным стандартам. Обязательным является соответствие FIPS140-2. Это сертификат выдает специальный государственный институт в США.
Есть еще один стандарт – PSI HSM. Это стандарт безопасности в платежной индустрии, созданный корпорациями Visa и MasterCard. Платежные компании стремятся оградить себя от рисков утечки информации и переложить ответственность за возможные кражи на продавцов, эквайеров и эмитентов. Пока данный стандарт не является обязательным, но это только вопрос времени. Сегодня только 2 компании в мире имеют сертификацию PCI HSM, одна из этих компаний – Thales.
Часто бывает, что решение нужно дорабатывать (например, поставить на модуль какое-либо ПО). Требует ли доработанная система повторной сертификации?
Безусловно. Когда производитель получает сертификат на свою разработку, в дополнение к нему он получает еще один документ – Security Policy. В документе содержится список ограничений по функционалу решения, т.е. прописано, какие операции на нем можно выполнять, а какие нет. Если вы, например, дописываете софт и загружаете его в модуль, то сертификация становится недействительной. Добавляя или изменяя сертифицированное решение или оборудование, вы будете должны сертифицировать его заново. Парадокс в том, что люди часто не читают этот документ и допускают эту ошибку.
Аппаратные модули защиты платежных систем используются в банках по всему миру. Какое еще оборудование для защиты данных востребовано банками?
В отличие от информации, деньги всегда имеют очевидную стоимость. Банки могут сразу оценить свои потери в результате того, что кто-то выдал себя за клиента. Одна из ключевых бизнес-задач в банковской сфере сегодня – защита бескарточных платежей (технология Card not present). Бескарточные платежи становятся все более популярными, и уровень угроз в их отношении постоянно растет. Весь бизнес карточных систем построен на правильной оценке рисков. Именно поэтому многие эквайеры берут больший процент за транзакцию без карты, чем за обычную транзакцию. Корпорации Visa и MasterCard предъявляют жесткие требования к банковским системам и требуют использования специальных защитных технологий. Одна из них – 3D-Secure , технология, позволяющая подтвердить подлинность всех действующих лиц транзакции: эмитента, эквайера и продавца. При этом все 3 звена должны поддерживать эту технологию.
У Thales есть разработки в этой области?
Thales предлагает использовать для этой цели платформу строгой аутентификации SafeSign. Основное отличие продукта от конкурентных – это очень гибкая платформа с высоким потенциалом масштабируемости. Кроме этого, SafeSign не привязан к конкретному устройству конкретного производителя и может быть интегрирован в любое оборудование. Еще одно немаловажное достоинство – доступная стоимость решения даже для очень крупных проектов.
SafeSign позволяет реализовывать в единой системе каналы аутентификации, которые работают независимо друг от друга в различных приложениях, с четким разграничением прав доступа для различных подразделений и отдельных лиц. Это очень актуально для больших организаций, имеющих разветвленную структуру (например, торговых корпораций, работающих и с оптом, и с розницей). Иными словами, с SafeSign вы можете создать центр аутентификации для всех приложений, в которых работает ваша компания либо несколько компаний в составе Группы компаний и т.д. Возможности для масштабирования практически неограничены. И при этом уровень безопасности будет по-настоящему высоким.
Часто конфиденциальные данные подвергаются компрометации на этапе передачи. Какие решения используются для ее защиты?
Передача данных – один из ключевых процессов в жизненном цикле информации, и он на самом деле очень уязвим. Для его защиты используются специальные сетевые шифраторы, например, Thales DataCryptor. Обеспечивая высокую скорость, они обеспечивают высочайший уровень защиты и в точке отправления, и в точке приема.
Аппаратная защита платежных систем – это уже устоявшийся факт. Сейчас появляются так называемые устройства защиты информации общего назначения. В каких сферах они применяются?
Действительно, аппаратная защита информации общего назначения начинает интересовать интеграторов и пользователей. Ведь сфер применения подобного оборудования достаточно много. Например, вы разработчик программного обеспечения и все свои программные разработки защищаете приватным ключом. Процесс подписания при помощи ключа должен быт защищен. А он защищен настолько, насколько безопасно хранятся ваши приватные ключи. Надежно защитить их можно при помощи аппаратных модулей безопасности, например, Thales nShield. В этом случае ключи подписываются внутри модуля и никогда не покидают их.
Еще одна сфера применения – работа с секретными данными. Обрабатывать их в компьютере небезопасно, т.к. есть риск копирования и использования. Аппаратные модули позволяют проводить обработку данных в защищенной среде. Аналогично модули применяются для защиты баз данных и архивов, содержащих зачастую очень чувствительную информацию.
Повторюсь, главный вопрос в защите данных состоит в том, где хранится ключ. Если его можно извлечь, шифрование данных не имеет смысла. Если же ключ неизвлекаем, как в случае использования модулей nShield, шифрование приобретает особую ценность.